호빵둥이 IT Blog

안녕하세요! 오늘은 워게임, Webhacking.kr Chellenge 5번 문제를 풀어보도록 하겠습니다. 이번 문제는 SQL 인젝션을 사용한 문제입니다. #문제 보기 바로 한번 https://webhacking.kr/challenge/web-05/로 접속해보도록 하겠습니다. Challenge 5 webhacking.kr 사이트에 접속하면 다음과 같이 Login, Join 버튼만 놓여있습니다. 무언가 회원가입을 하고 로그인해야 하는 것으로 유추해봅시다. 먼저 Join부터 눌러보도록 하겠습니다. 바로 접속을 거부당했습니다. 이번에는 한번 소스코드를 볼까요? 마우스 우클릭을 한 다음에 [페이지 소스보기] 또는 [Ctrl + U]를 통해 소스코드를 볼 수 있습니다. 1 2 3 4 5 6 7 8 9 10 11 ..

안녕하세요! 오늘은 워게임, Webhacking.kr Chellenge 4번 문제를 풀어보도록 하겠습니다. 이번 문제는 레인보우 테이블을 사용한 문제입니다. 문제를 보기 앞서 간단하게 레인보우 테이블이 무엇인지, 확인해 보도록 하겠습니다. #레인보우 테이블 레인보우 테이블(Rainbow Table)이란, MD5, SHA-1, SHA-2 등 해시함수를 사용해서 만들 수 있는 값들을 모두 저장한 표라고 할 수 있습니다. 말 그대로, 만들 수 있는 모든 값들을 넣어둔 테이블이므로 용량이 엄청나게 큰 게 사실입니다. 영어 대소문자, 숫자만 사용한다고 가정하면, 총 사용되는 문자는 62개이고, 이 문자열이 n개의 문자로 이루어져 있다면 총 62^n개의 문자열이 있고, 이에 해당하는 모든 해시값을 저장해 둔 파일이..

안녕하세요! 오늘은 워게임, Webhacking.kr Challenge 3번 문제를 풀어보도록 하겠습니다. 이번 문제는 SQL 인젝션을 사용한 문제입니다. 먼저 시작하기 전에 아주 간단하게 SQL 인젝션이 무엇인지 알아보도록 하겠습니다. #SQL 인젝션 SQL 인젝션은 이름이 가지고 있는 뜻 그대로, SQL 코드를 인젝션, 삽입하여 보안 오류를 일으키는 것을 말합니다. 대부분 DB의 경우 사용자로부터 데이터를 입력받고, 그 데이터를 SQL에 명령문 형태로 삽입합니다. 예를 들어, INSERT INTO{테이블} VALUES {값} 이런식으로 말이죠. 하지만, 이를 악용하면 SQL문을 우회할 수 있습니다. SELECT user FROM user_table WHERE id='아이디' AND password='..

안녕하세요. 오늘은 워게임 Webhacking.kr Old-01문제를 풀어보도록 하겠습니다. 우선 https://webhacking.kr/challenge/web-01/ 에 접속해봅시다. 어떻게 해야할까요? #소스코드 분석하기 일단, View-source를 눌러줍시다. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27